Tweede Kamer der Staten-Generaal 



Vergaderjaar 2014-2015 


32 761 Verwerking en bescherming persoonsgegevens 

26 448 Structuur van de uitvoering werk en inkomen 

(SUWI) 


Nr. 84 BRIEF VAN DE STAATSSECRETARIS VAN SOCIALE ZAKEN EN 

WERKGELEGENHEID 

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal 
Den Haag, 4 juni 2015 

Met deze brief bied ik u het rapport «Veilig omgaan met eikaars gegevens 
« van de Inspectie SZW aan 1 . 

In dit rapport gaat de Inspectie SZW in op de uitkomsten van een 
vervolgonderzoek naar de beveiliging van Suwinet bij gemeenten. Naar 
aanleiding van het Algemeen Overleg van 20 maart 2014 (Kamerstuk 
32 761, nr. 61) is het onderzoek vervroegd uitgevoerd. In de oorspronke¬ 
lijke planning stond het onderzoek voor 2015 gepland. 

Voor het landelijke representatieve beeld heeft de Inspectie SZW 78 
gemeenten (uit het totaal van 403 gemeenten) onderzocht. Ten opzichte 
van 2013 zijn de resultaten verbeterd. Daar waar in 2013 slechts 3 van de 
80 onderzochte gemeenten aan de 7 normen voldeden waaraan de 
Inspectie SZW heeft getoetst, voldoen nu 13 van de 78 gemeenten aan de 
7 normen. De gemiddelde score steeg van 2,4 naar 3,9 van de 7 normen. 
Daarnaast heeft de Inspectie SZW 43 gemeenten onderzocht die ook bij 
het vorige onderzoek in 2013 in de steekproef zaten. Daar waar in 2013 er 
2 gemeenten aan alle 7 normen voldeden, voldoen nu 6 gemeenten aan 
de 7 normen. De gemiddelde score van deze groep steeg van 2,4 naar 4,7 
normen. Deze verbetering is groter dan de resultaten vanuit het landelijke 
beeld. 

Ondanks deze verbetering constateer ik dat de beveiliging van SUWInet 
bij gemeenten nog onvoldoende op orde is. Gemeenten moeten de 
verbetering die is ingezet voortzetten. Gezien het grote belang van 
gegevensuitwisseling voor burgers én voor gemeenten heeft de VNG 
aangegeven de verbeteracties richting gemeenten te gaan intensiveren. 
Daartoe zal de VNG met UWV en SVB een ketenbrede awareness 


1 Raadpleegbaar via www.tweedekamer.nl 
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campagne starten. In deze campagne wordt ingegaan op het veilig 
gebruik van gegevens via SUWInet. 

Naar aanleiding van de resultaten van het onderzoek heb ik onmiddellijk 
het College Bescherming Persoonsgegevens (CBP) geïnformeerd. Het CBP 
heeft aangegeven direct een onderzoek te starten bij de gemeenten die 
aan geen enkele norm voldoen 2 . Het CBP kan handhavend optreden en 
een last onder dwangsom opleggen. 

Ik zal de Inspectie SZW verzoeken in 2016 een onderzoek uit te voeren om 
na te gaan of gemeenten hun verplichting om verantwoording af te 
leggen over het gebruik van SUWInet nakomen. Colleges van B&W 
leggen verantwoording af over de beveiliging van SUWInet aan de 
gemeenteraad en maken het beveiligen van SUWInet inzichtelijk. Deze 
verantwoording dient bevestigd te worden door een oordeel van een 
EDP-auditor. Een verantwoording over de informatiebeveiliging biedt de 
colleges van B&W en gemeenteraden handvatten om hun verantwoorde¬ 
lijkheid voor informatiebeveiliging en bescherming van persoonsge¬ 
gevens in te vullen. Ik zal de Inspectie SZW ook vragen om in 2016 een 
herhalingsonderzoek naar de beveiliging van het gebruik van SUWInet uit 
te voeren. 

Momenteel ontwikkel ik een escalatieprotocol dat voorziet in een aantal 
stappen. De laatste stap kan ertoe leiden dat een gemeente door het 
geven van een aanwijzing wordt afgesloten van het gebruik van SUWInet. 
Het opstellen van het escalatieprotocol bevindt zich momenteel in een 
afrondende fase. Ik streef ernaar om u in de zomer te informeren over de 
opzet van dit protocol. 

Uit de verantwoording over 2015 moet blijken dat het college van B&W 
heeft gestuurd op geconstateerde tekortkomingen gedurende het jaar 
2015. Met het onderzoek naar de invulling van de verantwoording over 
2015 naar de beveiliging van SUWInet door gemeenten wil ik vaststellen 
voor welke gemeenten het escalatieprotocol in werking moet treden. 

Ik verwacht dat de gemeenteraad van gemeenten, die niet voldoen aan 
alle 7 normen uit het onderzoek van de Inspectie SZW, direct zijn 
controlerende rol gaat vervullen en het college stevig zal aanspreken op 
zijn verantwoordelijkheid om de beveiliging van SUWInet op orde te 
brengen. Deze gemeenten stuur ik een brief waarin ik hen erop zal wijzen 
dat, indien er geen maatregelen volgen, zij het risico lopen om afgesloten 
te worden van het gebruik van SUWInet. Uit de verantwoording moet 
blijken welke maatregelen deze gemeenten hebben genomen. 

Samen met de Minister van BZK en de VNG werk ik aan het inrichten van 
een verantwoording informatiebeveiliging voor gemeenten waar de 
verantwoording over het Suwinet onderdeel van is. Dit maakt het voor 
gemeenten mogelijk om integraal op informatieveiligheid te sturen en 
daarover verantwoording af te leggen. 

SUWInet is inmiddels 15 jaar oud en in deze periode is er veel veranderd. 
Er worden veel meer gegevens uitgewisseld en door verdergaande 
digitalisering blijft de behoefte aan gegevens toenemen. De informatiebe¬ 
hoefte bij gemeenten richt zich ook steeds meer op meerdere domeinen. 
De groei van het gegevensverkeer, de overdracht van taken en bevoegd¬ 
heden naar gemeenten en signalen van de Inspectie SZW over tekortko¬ 
mingen in de informatiebeveiliging bij gemeenten zijn voor mij aanleiding 
geweest om te onderzoeken hoe de gegevensuitwisseling in het domein 


2 Met uitzondering van één gemeente waar de Inspectie SZW een herhalingsonderzoek gaat 
uitvoeren. 
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van werk en inkomen organisatorisch, juridisch en technisch opnieuw 
vorm kan worden gegeven. Dit gebeurt in nauwe samenspraak met de 
overige partners. Voor het einde van het jaar zal ik u informeren over de 
voortgang van het onderzoek. 

De Staatssecretaris van Sociale Zaken en Werkgelegenheid, 

J. Klijnsma 
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